Google envió el viernes una actualización de seguridad fuera de banda para abordar una vulnerabilidad de alta gravedad en su navegador Chrome que, según dijo, se está explotando activamente en la naturaleza.
rastreado como CVE-2022-1096, la falla de día cero se relaciona con una vulnerabilidad de confusión de tipos en el motor JavaScript V8. A un investigador anónimo se le atribuye haber informado el error el 23 de marzo de 2022.
Los errores de confusión de tipos, que surgen cuando se accede a un recurso (por ejemplo, una variable o un objeto) usando un tipo que es incompatible con el que se inicializó originalmente, podría tener consecuencias graves en lenguajes que no son caja fuerte de memoria como C y C++, lo que permite a un actor malicioso realizar acceso a la memoria fuera de los límites.
“Cuando se accede a un búfer de memoria utilizando el tipo incorrecto, podría leer o escribir memoria fuera de los límites del búfer, si el búfer asignado es más pequeño que el tipo al que intenta acceder el código, lo que provoca un bloqueo y posiblemente el código ejecución”, Enumeración de Debilidades Comunes (CWE) de MITRE explica.
El gigante tecnológico reconoció que es “consciente de que existe un exploit para CVE-2022-1096”, pero no llegó a compartir detalles adicionales para evitar una mayor explotación y hasta que la mayoría de los usuarios se actualicen con una solución.
CVE-2022-1096 es la segunda vulnerabilidad de día cero abordada por Google en Chrome desde principios de año, siendo la primera CVE-2022-0609, una vulnerabilidad de uso posterior en el componente de animación que se parchó el 14 de febrero. , 2022.
A principios de esta semana, el Grupo de Análisis de Amenazas (TAG) de Google reveló detalles de una campaña gemela organizada por grupos de estados-nación de Corea del Norte que utilizaron la falla como arma para atacar a organizaciones con sede en EE. UU. que abarcan industrias de medios de comunicación, TI, criptomonedas y tecnología financiera.
Se recomienda encarecidamente a los usuarios de Google Chrome que actualicen a la última versión 99.0.4844.84 para Windows, Mac y Linux para mitigar cualquier amenaza potencial. También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.